Egy botnet-üzemeltetőnek sikerült banális gépelési hibával összeomlasztani saját jól kitervelt, gonosz támadását.

Gépelési nehézségekkel küzdő botnet-üzemeltető omlasztotta össze saját rendszerét. Egy elgépelt parancs elég volt ahhoz, hogy az egész jól kitervelt támadási művelet füstbe menjen. Végül ennek köszönhetően az egész botnet működésképtelenné vált.  Magát a botnetet, majd a támadó hálózat pusztulását előidéző hibás parancssort is az Akamai Technologies kiberbiztonsági kutatói fedezték fel. Akit minden technikai részlet és finomság érdekel, egy kattintásra elérheti elemzésüket.

A történet szokványosan indult. Az Akamai egyik honeypotja november első felében "fogott" egy botnetet. A Go nyelven írt kártevő (ezt a nyelvet egyre gyakrabban használják hekkerek, mert kódját viszonylag nehéz visszafejteni) gyenge bejelentkezési adatokat használó SSH-kapcsolaton keresztül fertőzte meg a rendszereket, melyekből időnként eltűnt, hogy elkerülje a lebukást. Elsősorban a játékipari és technológiai cégeket, valamint a luxusautó-gyártókat támadta, de tudott kriptovalutát bányászni, és alkalmas volt DDoS-támadások végrehajtására is. A kutatók KmsdBotnak nevezték a támadó rendszert, és elkezdték figyelni a tevékenységét, készen arra, hogy szükség esetén beavatkozzanak.

Erre azonban nem volt szükség. A botnet tesztelése közben (ennek során ellenőrzött környezetben küldtek parancsokat a botnetnek) azonban olyan hibára bukkantak, ami aktiválva magát lényegében tönkretette az egész botnet-hálózatot. "Nem mindennap találkozunk olyan botnetekkel, amelyeket maguk a fenyegető szereplők tesznek tönkre" – nyilatkozta a beszédes nevű Larry Cashdollar kutató, aki a botnet összeomlásával foglalkozó beszámolót jegyzi az Akamai blogján.

A kihagyott hibaellenőrző funkció bosszúja

Az Akamai kialakított egy speciális tesztkörnyezetet, amelyben azt vizsgálta, hogy a KmsdBot milyen parancsokat kap az ún. C2 (command-and-control) szerverétől. A megfigyelés során vették észre, hogy a botnet egy rosszul formázott parancs után leállította a további támadási parancsok küldését.

A hibás parancs a következő volt:

!bigdata www.bitcoin.com443 / 30 3 3 3 100

A parancsban, amelynek célja a kutatók szerint valószínűleg a bitcoin.com oldal elleni DDoS-támadás elindítása volt, csupán az a hiba, hogy az URL ('www.bitcoin.com') és a portszám ('443') között nincs szóköz. Ez egy olyan probléma, amit a legtöbb többé-kevésbé korrektül megírt szoftver képes lenne kezelni (pl. visszaadna egy hibaüzenetet, de nem csinálna semmit). Nem így a KmsdBot!

A kutatók rekonstruálták a parancsot, és a tesztkörnyezetükben is kipróbálták. Ekkor jöttek rá, hogy a parancs valószínűleg összeomlasztotta a fertőzött gépeken futó összes olyan Go binárist, amely a C2 szerverrel kommunikált. Cashdollar szerint ritka eset látni egy olyan fenyegetést, amely egy ilyen elgépeléssel lényegében önmagát hárítja el. A kutató szerint az eset szépen mutatja a technológia szeszélyes, ingatag természetét, meg azt is, hogy nem csak a gyanútlan célpontok hibáit lehet kiaknázni, hanem a támadókét is.

Biztonság

TeslaMate-fiókok szivárogtatnak érzékeny információkat a Teslákról

Ez most kivételesen nem amiatt van, mert Elon Muskot nagyon leköti az X felemeléséért és a Mars meghódításáért vívott küzdelme.
 
A világ a "cloud first" stratégiát követi. Nem kérdés, hogy a IT-biztonságnak is azzal kell tartania a tempót, de nem felejtheti, hogy honnan startolt.

a melléklet támogatója a Clico Hungary

Hirdetés

Jön a Clico formabontó cloud meetupja, ahol eloszlatják a viharfelhőket

Merre mennek a bitek a felhőben, ledobja-e szemellenzőjét az IT-biztonságért felelős kolléga, ha felhőt lát, lesz-e két év múlva fejlesztés cloud nélkül? A Clico novemberben fesztelen szakmázásra hívja a szoftverfejlesztőket a müncheni sörkertek vibrálását idéző KEG sörművházba.

Minden vállalatnak számolnia kell az életciklusuk végéhez érő technológiák licencelési keresztkockázataival. Rogányi Dániel és Vincze-Berecz Tibor (IPR-Insights) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 1. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.